Anslut data från Microsoft Defender XDR till Microsoft Sentinel

Artikel
12/09/2023

Med Microsoft Sentinels Microsoft Defender XDR-anslutningsprogram med incidentintegrering kan du strömma alla Microsoft Defender XDR-incidenter och aviseringar till Microsoft Sentinel och hålla incidenterna synkroniserade mellan båda portalerna. Microsoft Defender XDR-incidenter omfattar alla deras aviseringar, entiteter och annan relevant information. De omfattar även aviseringar från Microsoft Defender XDR:s komponenttjänster Microsoft Defender för Endpoint, Microsoft Defender för identitet, Microsoft Defender för Office 365 och Microsoft Defender för molnet-appar samt aviseringar från andra tjänster som Dataförlustskydd i Microsoft Purview och Microsoft Entra ID Protection. Microsoft Defender XDR-anslutningsappen innehåller även incidenter från Microsoft Defender för molnet, men om du vill synkronisera aviseringar och entiteter från dessa incidenter måste du aktivera Microsoft Defender för molnet-anslutningsappen, annars måste du Microsoft Defender för molnet incidenter visas tomma. Läs mer om tillgängliga anslutningsappar för Microsoft Defender för molnet.

Med anslutningsappen kan du också strömma avancerade jakthändelser från alla ovanstående Defender-komponenter till Microsoft Sentinel, så att du kan kopiera defender-komponenternas avancerade jaktfrågor till Microsoft Sentinel, utöka Sentinel-aviseringar med Defender-komponenternas rådata för att ge ytterligare insikter och lagra loggarna med ökad kvarhållning i Log Analytics.

Mer information om incidentintegrering och avancerad insamling av jakthändelser finns i Microsoft Defender XDR-integrering med Microsoft Sentinel.

Microsoft Defender XDR-anslutningsappen är nu allmänt tillgänglig.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Förutsättningar

Du måste ha en giltig licens för Microsoft Defender XDR, enligt beskrivningen i Förhandskraven för Microsoft Defender XDR.
Användaren måste tilldelas rollerna Global administratör eller Säkerhetsadministratör på den klientorganisation som du vill strömma loggarna från.
Användaren måste ha läs- och skrivbehörighet på din Microsoft Sentinel-arbetsyta.
Om du vill göra ändringar i anslutningsinställningarna måste användaren vara medlem i samma Microsoft Entra-klientorganisation som din Microsoft Sentinel-arbetsyta är associerad med.
Installera lösningen för Microsoft Defender XDR från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

Förutsättningar för Active Directory-synkronisering via MDI

Din klientorganisation måste vara registrerad på Microsoft Defender för identitet.
MDI-sensorn måste vara installerad.

Anslut till Microsoft Defender XDR

Välj Dataanslutningsprogram i Microsoft Sentinel, välj Microsoft Defender XDR i galleriet och välj Sidan Öppna anslutningsapp.

Avsnittet Konfiguration innehåller tre delar:

Anslut incidenter och aviseringar möjliggör grundläggande integrering mellan Microsoft Defender XDR och Microsoft Sentinel, synkronisering av incidenter och deras aviseringar mellan de två plattformarna.
Anslut entiteter möjliggör integrering av lokal Active Directory användaridentiteter i Microsoft Sentinel via Microsoft Defender för identitet.
Anslut händelser möjliggör insamling av råa avancerade jakthändelser från Defender-komponenter.

Dessa förklaras mer detaljerat nedan. Mer information finns i Microsoft Defender XDR-integrering med Microsoft Sentinel .

Anslut incidenter och aviseringar

För att mata in och synkronisera Microsoft Defender XDR-incidenter, med alla deras aviseringar, till din Microsoft Sentinel-incidentkö:

Markera kryssrutan med etiketten Inaktivera alla regler för att skapa Microsoft-incidenter för dessa produkter. Rekommenderas för att undvika duplicering av incidenter.
(Den här kryssrutan visas inte när Microsoft Defender XDR-anslutningsappen är ansluten.)
Välj knappen Anslut incidenter och aviseringar.

Kommentar

När du aktiverar Microsoft Defender XDR-anslutningsappen ansluts alla Microsoft Defender XDR-komponenters anslutningsappar (de som nämns i början av den här artikeln) automatiskt i bakgrunden. För att kunna koppla från en av komponenternas anslutningsappar måste du först koppla från Microsoft Defender XDR-anslutningsappen.

Om du vill köra frågor mot Microsoft Defender XDR-incidentdata använder du följande instruktion i frågefönstret:

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

Anslut entiteter

Använd Microsoft Defender för identitet för att synkronisera användarentiteter från din lokal Active Directory till Microsoft Sentinel.

Kontrollera att du har uppfyllt kraven för att synkronisera lokal Active Directory användare via Microsoft Defender för identitet (MDI).

Välj länken Gå till UEBA-konfigurationssidan.
Om du ännu inte har aktiverat UEBA på sidan Konfiguration av entitetsbeteende flyttar du sedan växlingsknappen till På överst på sidan.
Markera kryssrutan Active Directory (förhandsversion) och välj Tillämpa.

Anslut händelser

Om du vill samla in avancerade jakthändelser från Microsoft Defender för Endpoint eller Microsoft Defender för Office 365 kan följande typer av händelser samlas in från motsvarande avancerade jakttabeller.

Markera kryssrutorna i tabellerna med de händelsetyper som du vill samla in:

Tabellnamn	Händelsetyp
DeviceInfo	Datorinformation, inklusive OS-information
DeviceNetworkInfo	Nätverksegenskaper för enheter, inklusive fysiska kort, IP- och MAC-adresser samt anslutna nätverk och domäner
DeviceProcessEvents	Skapa processer och relaterade händelser
DeviceNetworkEvents	Nätverksanslutning och relaterade händelser
DeviceFileEvents	Skapa, ändra och andra filsystemhändelser
DeviceRegistryEvents	Skapa och ändra registerposter
DeviceLogonEvents	Inloggningar och andra autentiseringshändelser på enheter
DeviceImageLoadEvents	DLL-inläsningshändelser
DeviceEvents	Flera händelsetyper, inklusive händelser som utlöses av säkerhetskontroller som Windows Defender Antivirus och exploateringsskydd
DeviceFileCertificateInfo	Certifikatinformation för signerade filer som hämtats från certifikatverifieringshändelser på slutpunkter

Tabellnamn	Händelsetyp
EmailAttachmentInfo	Information om filer som är kopplade till e-postmeddelanden
EmailEvents	E-posthändelser i Microsoft 365, inklusive e-postleverans och blockerande händelser
EmailPostDeliveryEvents	Säkerhetshändelser som inträffar efter leverans efter att Microsoft 365 har levererat e-postmeddelandena till mottagarpostlådan
EmailUrlInfo	Information om URL:er för e-postmeddelanden

Tabellnamn	Händelsetyp
IdentityDirectoryEvents	Olika identitetsrelaterade händelser, till exempel lösenordsändringar, lösenordsförfallodatum och UPN-ändringar (user principal name), som hämtats från en lokal Active Directory domänkontrollant Innehåller även systemhändelser på domänkontrollanten
IdentityInfo	Information om användarkonton som hämtats från olika tjänster, inklusive Microsoft Entra-ID
IdentityLogonEvents	Autentiseringsaktiviteter som görs via din lokal Active Directory, enligt Microsoft Defender for Identity Autentiseringsaktiviteter relaterade till Microsoft onlinetjänster, enligt Microsoft Defender för molnet Apps
IdentityQueryEvents	Information om frågor som utförs mot Active Directory-objekt som användare, grupper, enheter och domäner

Tabellnamn	Händelsetyp
CloudAppEvents	Information om aktiviteter i olika molnappar och tjänster som omfattas av Microsoft Defender för molnet Apps

Tabellnamn	Händelsetyp
AlertInfo	Information om aviseringar från Microsoft Defender XDR-komponenter
AlertEvidence	Information om olika entiteter – filer, IP-adresser, URL:er, användare, enheter – associerade med aviseringar från Microsoft Defender XDR-komponenter

Klicka på Tillämpa ändringar.
Om du vill köra frågor mot avancerade jakttabeller i Log Analytics anger du tabellnamnet från listan ovan i frågefönstret.

Verifiera datainmatning

Datadiagrammet på anslutningssidan anger att du matar in data. Du kommer att märka att den visar en rad var för incidenter, aviseringar och händelser, och händelseraden är en aggregering av händelsevolymen i alla aktiverade tabeller. När du har aktiverat anslutningsappen kan du använda följande KQL-frågor för att generera mer specifika diagram.

Använd följande KQL-fråga för en graf över inkommande Microsoft Defender XDR-incidenter:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

Använd följande KQL-fråga för att generera ett diagram över händelsevolymen för en enskild tabell (ändra tabellen DeviceEvents till den tabell som du väljer):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

På fliken Nästa steg hittar du några användbara arbetsböcker, exempelfrågor och analysregelmallar som har inkluderats. Du kan köra dem på plats eller ändra och spara dem.

Nästa steg

I det här dokumentet har du lärt dig hur du integrerar Microsoft Defender XDR-incidenter och avancerade jakthändelsedata från Microsoft Defender-komponenttjänster i Microsoft Sentinel med hjälp av Microsoft Defender XDR-anslutningsappen. Mer information om Microsoft Sentinel finns i följande artiklar:

Lär dig hur du får insyn i dina data och potentiella hot.
Kom igång med att identifiera hot med Microsoft Sentinel.